ДЕРЖАВНИЙ КОМІТЕТ УКРАЇНИ ПО СТАНДАРТИЗАЦІЇ,
МЕТРОЛОГІЇ ТА СЕРТИФІКАЦІЇ
СЛУЖБА БЕЗПЕКИ УКРАЇНИ
Н А К А З
N 708/156 від 28.11.97 Зареєстровано в Міністерстві
м.Київ юстиції України
17 грудня 1997 р.
vd971128 vn708/156 за N 598/2402
Про затвердження Тимчасової інструкції про
порядок постачання і використання ключів
до засобів криптографічного захисту
інформації
З метою забезпечення виконання вимог стандарту ГОСТ 28147-89
"Системы обработки информации. Защита криптографическая. Алторитм
криптографического преобразования" та вдосконалення порядку
розповсюдження ключів до засобів криптографічного захисту
інформації Н А К А З У Є М О:
1. Затвердити Тимчасову інструкцію про порядок постачання і
використання ключів до засобів криптографічного захисту інформації
(далі - Інструкція) (додається).
2. Визначити організацією, що здійснює постачання ключів,
Службу безпеки України. Безпосереднє виконання робіт щодо
постачання ключів покласти на Головне управління урядового зв'язку
Служби безпеки України.
3. Головному управлінню урядового зв'язку Служби безпеки
України, в тримісячний термін розробити і ввести в дію відповідну
нормативну, технічну та облікову документацію.
4. Відділу стандартизації, сертифікації та держнагляду в
галузі інформаційних технологій, зв'язку, класифікації ТЕСІ та
послуг Держстандарту України (Машовець Т.М.) забезпечити надання
користувачам необхідної інформації щодо використання ГОСТ 28147-89
через засоби масової інформації та інформаційні видання
Держстандарту України в місячний термін після реєстрації в
Міністерстві юстиції.
Перший заступник Голови
Державного комітету України
по стандартизації, метрології
та сертифікації Ю.Рубан
Заступник Голови Служби
безпеки України О.Пугач
Затверджено
спільним наказом Держстандарту
України та Служби безпеки
України від 28 листопада
1997 р. N 708/156
Тимчасова інструкція
про порядок постачання і використання ключів
до засобів криптографічного захисту
інформації
1. Галузь застосування
1.1. Цей документ встановлює порядок постачання і
використання ключів, що внесені до п.1.7. ГОСТ 28147-89 та
визначають заповнення ключових запам'ятовуючих пристроїв і таблиць
блоку підстановки.
1.2. Вимоги цього документу є обов'язковими для виконання
юридичними особами будь-яких форм власності, що передбачені чинним
законодавством.
2. Терміни та скорочення
2.1. Разовий (сеансовий) ключ (РК) - ключ, що визначає
порядок заповнення ключового запам'ятовуючого пристрою (КЗП).
2.2. Довгостроковий ключовий елемент (ДКЕ) - ключ, що
визначає заповнення таблиць блоку підстановки.
2.3. Носій ключової інформації (НКІ) - спеціальний, захищений
від неконтрольованного доступу носій інформації, що містить один
чи декілька комплектів РК або ДКЕ.
2.4. Замовник - юридична особа будь-якої форми власності, що
здійснює діяльність на території України, яка розробляє,
виготовляє, постачає та (або) застосовує засоби криптографічного
захисту інформації, що реалізують алгоритм криптографічного
перетворення, встановлений ГОСТ 28147-89.
2.5. Постачальник - організація, яка визначена Держстандартом
України і здійснює постачання НКІ Замовнику.
2.6. Інші поняття, терміни та їх визначення, що
застосовуються у цій Інструкції, відповідають ГОСТ 28147-89.
3. Загальні положення
3.1. РК можуть постачатися Постачальником у вигляді НКІ, або
вироблятися безпосередньо Замовником за методиками, погодженими із
Постачальником.
3.2. ДКЕ постачаються виключно Постачальником у вигляді НКІ.
3.3. Носії ключової інформації постачаються Замовнику
виключно Постачальником. Постачання НКІ іншими організаціями або
посередниками, а також їх копіювання не припустимо.
3.4. НКІ постачаються у необхідній для забезпечення Замовника
кількості комплектів і примірників.
3.5. Замовнику надається право самостійно визначати порядок
постачання НКІ власним структурним підрозділам і організаціям, що
з ним взаємодіють.
3.6. Постачання НКІ здійснюється за плату згідно з укладеними
договорами про постачання.
3.7. Для забезпечення безпеки інформації, якісної реалізації
алгоритму криптографічного перетворення, Замовнику слід
використовувати НКІ у відповідності до вимог ГОСТ 28147-89, умов
договору про постачання та порядку використання, який надається
цією Інструкцією.
4. Порядок використання
4.1. Для забезпечення безпеки інформації при використанні
алгоритму криптографічного перетворення, встановленого
ГОСТ 28147-89, Замовнику рекомендується:
- встановити термін дії одного комплекту РК - одну добу,
одного комплекту ДКЕ - один рік (у окремих випадках, за
узгодженням із Постачальником може бути встановлений інший термін
дії одного комплекту ДКЕ);
- забезпечити надійне збереження НКІ та охорону від осіб, які
не є відповідальними за введення ключів у засоби криптографічного
захисту інформації;
- після закінчення терміну дії комплекту ключів, доцільно,
протягом однієї доби для РК, і трьох діб для ДКЕ, провести його
знищення (зтерти відповідну інформацію з магнітних носіїв та
запам'ятовуючих пристроїв);
- знищення ключів проводити комісією у складі не менше трьох
осіб із оформленням відповідного акта.
5. Порядок постачання носіїв ключової інформації
5.1. Постачання НКІ включає в себе такі етапи:
- подачу Замовником заявки;
- розгляд Постачальником заявки Замовника та прийняття
відповідного рішення щодо неї;
- укладення договору про постачання НКІ;
- здійснення постачання НКІ Замовнику;
- постачання НКІ підрозділам Замовника;
- контроль за дотриманням порядку використання НКІ.
5.2. Подача Замовником заявки
5.2.1. У разі необхідності одержання Замовником НКІ
він направляє Постачальнику заявку, в якій вказується:
- юридична адреса і банківські реквізити Замовника;
- з якою метою і для забезпечення дії яких засобів
криптографічного захисту інформації будуть використовуватися НКІ;
- необхідна кількість комплектів РК і ДКЕ та кількість
примірників НКІ;
- гарантії оплати робіт з постачання НКІ.
5.3. Розгляд Постачальником заявки Замовника і прийняття
відповідного рішення
5.3.1. Постачальник носіїв ключової інформації
розглядає заявку для визначення юридичного статусу Замовника,
оцінювання достатнього обсягу наданих відомостей, юридичної
чинності наданих документів.
5.3.2. За результатами розгляду заявки Постачальник приймає
рішення щодо здійснення постачання чи відмову у здійсненні
постачання.
5.3.3. Про прийняте рішення Постачальник повідомляє Замовника
у письмовому вигляді протягом 30 календарних днів після одержання
заявки.
5.3.4. Водночас з рішенням щодо постачання НКІ Постачальник
надсилає Замовнику розрахунок вартості робіт по його проведенню.
5.4. Укладення договору про постачання носіїв ключової
інформації
5.4.1. Договір про постачання НКІ укладається із домовленості
між Постачальником і Замовником.
5.4.2. У договорі про постачання вказуються:
- обов'язки сторін;
- порядок оплати і постачання НКІ;
- порядок здійснення контролю за використанням НКІ;
- юридичні адреси сторін та інші реквізити.
5.5. Здійснення постачання носіїв ключової інформації
Замовнику
5.5.1. Постачання НКІ Замовнику здійснюється відповідно до
договору про постачання НКІ, який укладено між Постачальником і
Замовником.
5.6. Постачання НКІ підрозділам Замовника
5.6.1. Замовник має право здійснювати постачання НКІ,
отриманих від Постачальника, своїм структурним підрозділам та
взаємодіючим з ним організаціям. Для цього Замовником
розроблюється та узгоджується з Постачальником відповідний
порядок.
5.7. Контроль за дотриманням норм встановлених цією
Інструкцією, при постачанні та використанні ключів, здійснюється
відповідно до зобов'язань, взятих на себе Замовником і
Постачальником при укладенні договору про постачання.